CN113569239A - 恶意软件分析方法 - Google Patents

恶意软件分析方法 Download PDF

Info

Publication number
CN113569239A
CN113569239A CN202110854876.2A CN202110854876A CN113569239A CN 113569239 A CN113569239 A CN 113569239A CN 202110854876 A CN202110854876 A CN 202110854876A CN 113569239 A CN113569239 A CN 113569239A
Authority
CN
China
Prior art keywords
malware
computing device
malware analysis
analysis
analysis method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110854876.2A
Other languages
English (en)
Inventor
张长河
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Weida Information Technology Co ltd
Original Assignee
Beijing Weida Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Weida Information Technology Co ltd filed Critical Beijing Weida Information Technology Co ltd
Priority to CN202110854876.2A priority Critical patent/CN113569239A/zh
Publication of CN113569239A publication Critical patent/CN113569239A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

恶意软件分析方法,使用将恶意软件有意安装在安全或隔离环境中的区域,旨在保护相同或其他计算设备免受恶意软件的任何不利影响。这种类型的分析在虚拟机环境中完成。然而,更高级的恶意软件变体可能能够检测到它们何时处于虚拟机环境或某些其他分析环境中,因此,在被分析时要么不采取任何行动,要么仅采取良性行动。因此,这些恶意软件变体可能不会被归类为恶意软件,并且只会在实际易受攻击的环境中表现出其负面和不利影响。该恶意软件分析方法提供了检测和分析这些更高级的恶意软件变体的方式,即使这些变体被设计为避免在虚拟机环境中检测。

Description

恶意软件分析方法
技术领域
本发明涉及一种恶意软件分析方法。
背景技术
恶意软件会对计算机系统和设备构成严重危害。一旦出现在计算系统或设备上,恶意软件可能会导致相应的个人、财务或其他敏感信息的损害。尽管努力阻止或从系统中删除恶意软件,例如使用防病毒软件程序,但估计数百万计算系统感染了某种形式的恶意软件。恶意软件的广泛存在部分是由于恶意软件变体的范围和多样性。事实上,恶意软件可以采用病毒、蠕虫、特洛伊木马、键盘记录器、间谍软件、广告软件和勒索软件等形式,而且每一种的新类型都在不断产生。此外,正在不断创建许多新的恶意软件变体,通常其多样性和复杂性都在不断增加。因此导致恶意软件难处理,从而危害了计算机安全。
发明内容
本发明的一个方面提供了可以高效且有效地分析恶意软件的恶意软件分析方法。所述恶意软件分析方法可能使用将恶意软件有意安装在安全或隔离环境中的区域,旨在保护相同或其他计算设备免受恶意软件的任何不利影响。在某些情况下,这种类型的分析可以在虚拟机环境中完成。然而,更高级的恶意软件变体可能能够检测到它们何时处于虚拟机环境或某些其他分析环境中,因此,在被分析时要么不采取任何行动,要么仅采取良性行动。因此,这些恶意软件变体可能不会被归类为恶意软件,并且只会在实际易受攻击的环境中表现出其负面和不利影响。本发明的一个方面提供了检测和分析这些更高级的恶意软件变体的方式,即使这些变体被设计为避免在虚拟机环境中检测。
所述恶意软件的处理方法包括初始化虚拟机的管理计算设备。然后管理计算设备可以将第一恶意软件安装到虚拟机上。管理计算设备然后可以分析第一恶意软件在虚拟机上的行为。随后,管理计算设备可以使物理计算设备从不同于主要引导源的辅助引导源引导,主要引导源可能是物理计算设备上的硬盘。之后,管理计算设备可以将第一恶意软件安装到物理计算设备上。然后,管理计算设备可以分析第一恶意软件在物理计算设备上的行为。随后,管理计算设备可以基于分析确定第一恶意软件在虚拟机上的行为是否不同于第一恶意软件在物理计算设备上的行为。然后,管理计算设备可以响应于确定虚拟机上的第一恶意软件的行为不同于物理计算设备上的第一恶意软件的行为,使得恶意软件分析计算设备从网络,其中恶意软件分析计算设备可以被配置为当从网络引导时从映像安装服务器接收基本硬盘驱动器映像。随后,管理计算设备可以导致恶意软件分析计算设备对网络的访问被阻止。然后,管理计算设备可以使恶意软件分析计算设备从基础硬盘驱动器映像重新启动。之后,管理计算设备可以将第一恶意软件安装到恶意软件分析计算设备上。然后管理计算设备可以在恶意软件分析计算设备上分析第一恶意软件的行为。
在各种实施例中,管理计算设备可以使恶意软件分析计算设备对网络的访问被解锁。在某些实施例中,管理计算设备可以将受恶意软件感染的硬盘驱动器图像从恶意软件分析计算设备复制到图像收集服务器。在某些实施例中,恶意软件分析计算设备对网络的访问可以被受管交换机阻止或解除阻止。
在一些实施例中,该方法可以包括在安装第一恶意软件之后管理计算设备使用户动作在恶意软件分析计算设备上被模仿。在各种实施例中,可以使用自动化脚本来模仿用户动作。在某些实施例中,可以从远程用户接收用户动作。
根据某些实施例的方法,管理计算设备可以使物理计算设备从不同于主要引导源的辅助引导源引导,其中主要引导源可以是硬盘物理计算设备。随后,管理计算设备可以将第一恶意软件安装到物理计算设备上。管理计算设备可以分析第一恶意软件在物理计算设备上的行为。然后,管理计算设备可以使物理计算设备重新启动,并且物理计算设备可以从辅助引导源重新启动,使得它可以为随后的恶意软件分析做好准备。
在各种实施例中,物理计算设备可以使用支持IP的电源板重新启动。在某些实施例中,在安装第一恶意软件之后,管理计算设备可以使用户动作在物理计算设备上被模仿。在各种实施例中,可以使用自动化脚本来模仿用户动作。在一些实施例中,可以从远程用户接收用户动作。
根据另外的方面,可以包括一个或多个处理器和/或存储器的一个或多个装置可以被配置为执行上述方法的一个或多个步骤。根据其他附加方面,提供了一种或多种非暂时性计算机可读介质,该介质存储计算机可读指令,当由至少一个计算设备执行时,可以使该至少一个计算设备执行一个或多个上面讨论的方法的更多步骤。
附图说明
图1是根据本发明的恶意软件分析方法的示例流程图。
具体实施方式
图1示出了根据本发明的恶意软件分析方法的示例流程图,所述恶意软件分析方法包括:
步骤1,初始化虚拟机,并利用管理计算设备使恶意软件在从辅助源引导的虚拟机和物理计算设备两者上进行分析,并且管理计算设备可以比较恶意软件在每个虚拟机和物理计算设备上的行为;
步骤2,判断并确定恶意软件在虚拟机上的行为不同于恶意软件在物理计算设备上的行为;
步骤3,响应于确定恶意软件在虚拟机上的行为不同于恶意软件在物理计算设备上的行为,管理计算设备使恶意软件分析计算设备从网络导入,其中恶意软件分析计算设备可以被配置为当从网络引导时从映像安装服务器接收基本硬盘驱动器映像。在某些实施例中,多个计算设备可用于恶意软件分析,(例如,一个非管理计算设备充当物理计算设备,而另一非管理计算设备充当恶意软件分析设备),而在其他实施例中,单个非管理计算设备充当恶意软件分析设备。管理计算设备可以用作物理计算设备和恶意软件分析计算设备(甚至,可选地,可以执行虚拟机),其中非管理设备的优选引导顺序可以由管理计算设备改变到适当的启动首选项。
步骤4,管理计算设备然后在接收到基础硬盘驱动器映像之后使恶意软件分析计算设备对网络的访问被阻止。在一些实施例中,恶意软件分析设备对任何其他组件的网络访问可以被阻止,而在某些其他实施例中,网络访问可以被限制(通过阻止)到被设计用于测试恶意软件的网络的有限子集。
步骤5,管理计算设备然后使恶意软件分析计算设备从基础硬盘驱动器映像重新启动。在某些实施例中,可以使用启用IP的电源板(例如,通过控制通过管理计算设备提供给电源板的电源,以选择性地循环关闭然后打开提供给恶意软件分析计算设备的电源)。在一些示例中,恶意软件分析计算设备的引导顺序偏好使设备最初尝试从网络引导,然后,如果该请求超时,则从其硬盘引导。在此特定示例中,当由于缺乏网络访问而从硬盘引导时,将从已安装的基本硬盘驱动器映像进行引导。
以这种方式,一旦重新启动,恶意软件分析计算设备可能没有恶意软件并且可以完全类似于用户使用的真正物理机器,因此最小化恶意软件变体仅显示良性行为的几率。在某些实施例中,可以在恶意软件分析计算设备上模仿用户动作,如上所述,并且在一些实施例中,可以在恶意软件分析设备以及虚拟机和/或物理计算设备上模仿用户动作。同时,可能更容易受到攻击的网络的其他部分,例如映像安装服务器,可以免受恶意软件的任何不利影响。在各种实施例中,恶意软件分析计算设备对网络的访问可以被受管交换机阻止或解除阻止。
步骤,6,管理计算设备然后再将第一恶意软件安装到恶意软件分析计算设备上,
步骤7,分析第一恶意软件在恶意软件分析计算设备上的行为。这些实施例中的分析,由于实际在“典型”物理机器上执行,如果新的、抗虚拟机的恶意软件变体也对辅助数据源启动的检测做出响应。
此外,恶意软件分析设备的使用可以在安装恶意软件时和在初始分析之后提供更实质性的分析。例如,生成的通知可能会提醒IT员工或专业人员在虚拟机上检测到恶意软件,或者虚拟机和物理计算设备上的行为存在差异。随后,如果在恶意软件分析设备上分析相同的样本,IT员工或专业人员可以直接监控安装和分析。
一些实施例中,在分析恶意软件在恶意软件分析设备上的行为之后,管理计算设备使恶意软件分析计算设备对网络的访问被解锁并且可以从恶意软件分析复制受恶意软件感染的硬盘驱动器映像设备到图像采集服务器。该实施例提供了恶意软件感染在真正的物理设备上的自动保存,必要时可以将其用于后续分析。
以上描述提供了可以在一些实施例中执行的方法和/或方法步骤的示例。在其他实施例中,该方法可以包括上述步骤、组件和特征中的一些或全部的附加组合或替代。此外,本领域技术人员可以认识到用于该方法的附加的和替代的合适的变化、特征、方面和步骤。例如,一些实施例涉及仅从辅助引导源引导的物理计算设备上的恶意软件分析,而其他实施例可以包括对虚拟机和/或如本文所述的恶意软件分析计算设备的分析,顺序地或并行地。其他实施例涉及仅使用恶意软件分析计算设备的分析,而其他实施例可以包括对虚拟机和/或物理计算设备的分析,如本文所述,顺序地或并行地。
在一些实施例中,可能不使用虚拟机和恶意软件分析设备,并且上面讨论的方法可以替代地包括管理计算设备,其使得物理计算设备从不同于主引导源的辅助引导源被引导;管理计算设备将第一恶意软件安装到物理计算设备上;使用管理计算设备分析恶意软件在物理计算设备上的行为;最后通过管理计算设备使物理计算设备重新启动,以便它可以从辅助启动源重新启动,以便它可以为后续的恶意软件分析做好准备。
一种执行上述方法的装置,该装置包括至少一个计算机处理器、至少一个非暂时性计算机可读介质,该介质中存储有计算机可执行指令,当由该至少一个计算机处理器执行时,该指令使该装置执行一些或所有上述动作,例如由管理计算设备执行的动作。
一种存储计算机可读指令的一个或多个非暂时性计算机可读介质。在某些实施例中,一个或多个非暂时性计算机可读介质存储计算机可读指令,当由至少一个计算设备执行时,使该至少一个计算设备执行上述一些或所有动作,例如,由管理计算设备执行的操作。在提供方法的示例的实施例中讨论的任何特征可以是一个或多个非暂时性计算机可读介质的实施例的特征。

Claims (15)

1.一种恶意软件分析方法,其特征是:包括如下步骤:
步骤1,初始化虚拟机,并利用管理计算设备使恶意软件在从辅助源引导的虚拟机和物理计算设备两者上进行分析,并且管理计算设备可以比较恶意软件在每个虚拟机和物理计算设备上的行为;
步骤2,判断并确定恶意软件在虚拟机上的行为不同于恶意软件在物理计算设备上的行为;
步骤3,响应于确定恶意软件在虚拟机上的行为不同于恶意软件在物理计算设备上的行为,管理计算设备使恶意软件分析计算设备从网络导入,其中恶意软件分析计算设备被配置为当从网络引导时从映像安装服务器接收基础硬盘驱动器映像;
步骤4,管理计算设备然后在接收到基础硬盘驱动器映像之后使恶意软件分析计算设备对网络的访问被阻止;
步骤5,管理计算设备然后使恶意软件分析计算设备从基础硬盘驱动器映像重新启动;
步骤6,管理计算设备然后再将第一恶意软件安装到恶意软件分析计算设备上;
步骤7,分析第一恶意软件在恶意软件分析计算设备上的行为。
2.如权利要求1所述的一种恶意软件分析方法,其特征是:步骤3中包括使用多个恶意软件分析计算设备来分析恶意软件分析。
3.如权利要求2所述的一种恶意软件分析方法,其特征是:所述恶意软件分析设备对任何其他组件的网络访问可以被阻止。
4.如权利要求2所述的一种恶意软件分析方法,其特征是:所述恶意软件分析设备对网络访问可以被限制到被设计用于测试恶意软件的网络的有限子集。
5.如权利要求1所述的一种恶意软件分析方法,其特征是:步骤5,使用启用IP的电源板来使恶意软件分析计算设备从基础硬盘驱动器映像重新启动。
6.如权利要求5所述的一种恶意软件分析方法,其特征是:通过控制通过管理计算设备提供给电源板的电源,以选择性地循环关闭然后打开提供给恶意软件分析计算设备的电源。
7.如权利要求1所述的一种恶意软件分析方法,其特征是:所述恶意软件分析计算设备的引导顺序偏好使设备最初尝试从网络引导,然后,如果该请求超时,则从其硬盘引导。
8.如权利要求7所述的一种恶意软件分析方法,其特征是:当由于缺乏网络访问而从硬盘引导时,将从已安装的基本硬盘驱动器映像进行引导。
9.如权利要求7所述的一种恶意软件分析方法,其特征是:恶意软件分析计算设备一旦重新启动,恶意软件分析计算设备可能没有恶意软件并且可以完全类似于用户使用的真正物理机器,此时最小化恶意软件变体仅显示良性行为的几率。
10.如权利要求9所述的一种恶意软件分析方法,其特征是:在恶意软件分析计算设备上模仿用户动作。
11.如权利要求9所述的一种恶意软件分析方法,其特征是:在恶意软件分析设备以及虚拟机和/或物理计算设备上模仿用户动作。
12.如权利要求10或11所述的一种恶意软件分析方法,其特征是:更容易受到攻击的网络的其他部分,可以免受恶意软件的任何不利影响。
13.如权利要求12所述的一种恶意软件分析方法,其特征是:所述恶意软件分析计算设备对网络的访问可以被受管交换机阻止或解除阻止。
14.如权利要求13所述的一种恶意软件分析方法,其特征是:所述恶意软件分析设备在安装恶意软件时和在初始分析之后提供更实质性的分析。
15.如权利要求14所述的一种恶意软件分析方法,其特征是:所述更实质性的分析包括生成通知来提醒IT员工或专业人员在虚拟机上检测到恶意软件,或者虚拟机和物理计算设备上的行为存在差异;如果在恶意软件分析设备上分析相同的样本,IT员工或专业人员可以直接监控安装和分析。
CN202110854876.2A 2021-07-27 2021-07-27 恶意软件分析方法 Withdrawn CN113569239A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110854876.2A CN113569239A (zh) 2021-07-27 2021-07-27 恶意软件分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110854876.2A CN113569239A (zh) 2021-07-27 2021-07-27 恶意软件分析方法

Publications (1)

Publication Number Publication Date
CN113569239A true CN113569239A (zh) 2021-10-29

Family

ID=78168273

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110854876.2A Withdrawn CN113569239A (zh) 2021-07-27 2021-07-27 恶意软件分析方法

Country Status (1)

Country Link
CN (1) CN113569239A (zh)

Similar Documents

Publication Publication Date Title
US9516060B2 (en) Malware analysis methods and systems
EP3430556B1 (en) System and method for process hollowing detection
US10169585B1 (en) System and methods for advanced malware detection through placement of transition events
RU2698776C2 (ru) Способ ведения базы данных и соответствующий сервер
US9251343B1 (en) Detecting bootkits resident on compromised computers
US8719935B2 (en) Mitigating false positives in malware detection
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
RU2645268C2 (ru) Сложное классифицирование для выявления вредоносных программ
US11438349B2 (en) Systems and methods for protecting devices from malware
US20140053267A1 (en) Method for identifying malicious executables
US20100175108A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US20100199351A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US10003606B2 (en) Systems and methods for detecting security threats
US20090133125A1 (en) Method and apparatus for malware detection
US20120144488A1 (en) Computer virus detection systems and methods
US20130239214A1 (en) Method for detecting and removing malware
CN110119619B (zh) 创建防病毒记录的系统和方法
KR101588542B1 (ko) 멀웨어 위험 스캐너
US10726129B2 (en) Persistence probing to detect malware
CN110659478B (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
US10650142B1 (en) Systems and methods for detecting potentially malicious hardware-related anomalies
US9501649B2 (en) Systems and methods for determining potential impacts of applications on the security of computing systems
CN113569239A (zh) 恶意软件分析方法
CN114048473A (zh) 针对计算机的恶意软件的处理方法
WO2023003565A1 (en) Kill chain identifications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
DD01 Delivery of document by public notice
DD01 Delivery of document by public notice

Addressee: Wen Yanmei

Document name: Review Business Special Letter

WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20211029